As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Talvez você queira criar uma nova chave do KMS e usá-la no lugar de uma chave do KMS atual, em vez de habilitar a alternância de chaves automática. Quando a nova chave do KMS tem material criptográfico diferente daquele da chave do KMS atual, usar a nova chave do KMS tem o mesmo efeito de alterar o material de chave em uma chave do KMS existente. O processo de substituir uma chave do KMS por outra é conhecido como alternância manual de chaves.
A alternância manual é uma boa opção quando você quiser alternar chaves do KMS que não estejam qualificadas para alternância automática de chaves, como chaves do KMS assimétricas, chaves do KMS de HMAC, chaves do KMS em repositórios personalizados de chaves e chaves do KMS com material de chave importado.
nota
Ao começar a usar a nova chave KMS, certifique-se de manter a chave KMS original ativada para que ela AWS KMS possa descriptografar os dados criptografados pela chave KMS original.
Ao alternar as chaves do KMS manualmente, você precisa atualizar as referências ao ARN ou ao ID da chave do KMS nas suas aplicações. Aliases, que associam um nome amigável a uma chave do KMS, tornam esse processo mais fácil. Use um alias para fazer referência a uma chave do KMS em suas aplicações. Quando quiser alterar a chave do KMS utilizada pela aplicação, em vez de editar o código da aplicação, altere a chave do KMS de destino do alias. Para obter detalhes, consulte Saiba como usar aliases em suas aplicações.
nota
Os aliases que apontam para a versão mais recente de uma chave KMS girada manualmente são uma boa solução para as operações Criptografar DescribeKey,, GenerateDataKeyGenerateDataKeyPairGenerateMac, e Assinar. Aliases não são permitidos em operações que gerenciam chaves KMS, como DisableKeyou. ScheduleKeyDeletion
Ao chamar a operação Decrypt em chaves KMS de criptografia simétrica giradas manualmente, omita o parâmetro do comando. KeyId AWS KMS usa automaticamente a chave KMS que criptografou o texto cifrado.
O KeyId parâmetro é obrigatório ao chamar Decrypt ou verificar com uma chave KMS assimétrica ou ao chamar VerifyMaccom uma chave HMAC KMS. Essas solicitações falham quando o valor do parâmetro KeyId é um alias que não aponta mais para a chave do KMS que executou a operação criptográfica, como quando uma chave é alternada manualmente. Para evitar esse erro, você deve rastrear e especificar a chave KMS correta para cada operação.
Para alterar a chave KMS de destino de um alias, use a UpdateAliasoperação na AWS KMS
API. Por exemplo, este comando atualiza o alias alias/TestKey para apontar para uma nova chave do KMS. Como a operação não retorna nenhuma saída, o exemplo usa a ListAliasesoperação para mostrar que o alias agora está associado a uma chave KMS diferente e o LastUpdatedDate campo está atualizado. Os ListAliases comandos usam o queryparâmetro no AWS CLI para obter somente o alias/TestKey alias.
$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/TestKey`]'
{
"Aliases": [
{
"AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/TestKey",
"AliasName": "alias/TestKey",
"TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"CreationDate": 1521097200.123,
"LastUpdatedDate": 1521097200.123
},
]
}
$ aws kms update-alias --alias-name alias/TestKey --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321
$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/TestKey`]'
{
"Aliases": [
{
"AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/TestKey",
"AliasName": "alias/TestKey",
"TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"CreationDate": 1521097200.123,
"LastUpdatedDate": 1604958290.722
},
]
}